linux文件完整性检测依靠校验值比对(如sha256sum)、专用工具(aide)、实时监控(inotifywait)和访问审计(auditd)四类方法,分别适用于静态校验、周期审计、即时告警与行为溯源。
Linux 文件完整性检测主要靠校验值比对和专用工具监控,核心是发现文件是否被意外或恶意修改。
使用 sha256sum 生成并验证校验值
适用于静态关键文件(如配置文件、启动脚本)的离线校验。先在可信状态下生成校验值存档,后续定期比对。
- 生成校验文件:sha256sum /etc/passwd /etc/shadow /boot/vmlinuz* > /root/filesums.sha256
- 验证时运行:sha256sum -c /root/filesums.sha256 2>/dev/null | grep -v ": OK$"(只显示失败或警告项)
- 注意:需确保校验文件本身不被篡改,建议存于只读介质或带签名的备份中
用 AIDE(Advanced Intrusion Detection Environment)做周期性完整性审计
AIDE 是专为文件完整性设计的开源工具,支持规则配置、数据库初始化与增量比对,适合生产环境长期部署。
仿梦芭莎模板整站 For ECSHOP
下载
ECSHOP仿梦芭莎模板整站源码,适合女性,化妆品等网站商城使用。 安装方法:1. 下载程序后,删除data目录下的install.lock文件。2.访问:域名/install 按照提示进行安装.3.安装完成后,登陆网站后台---还原数据库4.清空缓存5.修改管理员密码.,删除install和demo目录还原数据后,后台信息:用户名:admin密码:www.shopex5.com
- 安装后初始化数据库:aide --init && mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
- 日常检查执行:aide --check,输出差异(如权限变更、大小变动、哈希不匹配)
- 可配置忽略临时文件、日志目录等动态内容,避免误报;规则写在 /etc/aide.conf
借助 inotify 或 inotifywait 实时监控敏感目录
适合需要即时响应的场景(如 Web 根目录、管理后台配置),但不替代校验,仅作辅助告警。
- 监听 /etc 下关键子目录变化:inotifywait -m -e modify,attrib,move,create,delete /etc/ssh/ /etc/pam.d/
- 配合脚本可触发邮件通知、记录日志或自动还原(需预置干净副本)
- 注意:inotify 资源有限,监控深度大或文件数多的目录需调高 /proc/sys/fs/inotify/max_user_watches
结合系统日志与 auditd 追踪文件访问行为
auditd 可记录谁、何时、以何种方式访问或修改了哪些文件,提供溯源依据,与完整性校验形成互补。
- 添加监控规则示例(监控 /etc/shadow 写入):auditctl -w /etc/shadow -p wa -k shadow_access
- 查询相关事件:ausearch -k shadow_access | aureport -f -i
- 规则持久化需写入 /etc/audit/rules.d/ 并重启 auditd
